Forum général.général Libérer et sécuriser un smartphone.

Posté par . Licence CC by-sa.
3
25
jan.
2018

Bonjour,

Je vais acheter un smartphone, probablement de la marque Xiaomi (même si on m'en avait conseillé d'autres ici, c'est vers cette marque que je me tourne parce que c'est un téléphone d'occasion que j'ai pris en main), assez peu répandue en Europe. J'aimerais sécuriser et libérer cet appareil le plus possible mais hélas, je n'y connais pas grand-chose en smartphones. Aussi, de nombreuses personnes m'assurent qu'il n'y a pas plus sûr que le Play Store de Google. Ceci est peut-être vrai, mais je recherche des avis un peu plus techniques que je trouve assez peu.

Ensuite, il faut savoir que le téléphone aura un rôle assez simple : photographies, SMS/MMS, un tout petit peu d'Internet et quelques trucs en plus. Je compte faire des sauvegardes régulières des photographies et vidéos, je ne sais pas si les conversations peuvent être sauvegardées, je sauvegarderai aussi les contacts.

L'idée, c'est de me passer de Google mais aussi de ne pas avoir de problèmes de sécurité ou de problèmes techniques. J'ai déjà assez de trucs à faire avec le travail pour en plus devoir me pencher sur des problèmes du smartphone.

Auriez-vous des conseils avant que je n'achète le téléphone ? Est-ce que je dois le rooter (je ne sais même pas ce que c'est…) ? Installer une ROM spéciale, etc ? Me débarrasser de la surcouche Xiaomi ?

Merci à tous pour vos conseils ! :)

  • # LineageOS

    Posté par . Évalué à 3.

    Si c'est l'un des modèles suivants, ça devrait être relativement simple (si tu sais te débrouiller avec la ligne de commande) pour installer lineageOS dessus.
    https://wiki.lineageos.org/devices/#xiaomi

    C'est une ROM android, et ça te permettra de te débarrasser de la surcouche du fabricant.
    Par défaut, il n'y a pas les "google services" dessus, donc ça te conviendra (pas de google play par exemple). Tu installes le dépôt d'applications f-droid et tu es bon pour le service.

    Pour tes besoins, je vois plusieurs solutions, selon si tu veux faire tes sauvegardes "à la main" (localement), ou avec un service en ligne.

    Manuellement :
    - les contacts s'exportent facilement dans un fichier
    - les photos sont directement accessibles en usb
    - les sms ne peuvent pas être exportés facilement avec l'appli de base il me semble, mais l'application Silence (qui permet aussi de chiffrer tes sms, si tes contacts l'utilisent aussi) oui

    En ligne (requiert d'avoir des serveurs à soi ou chez un prestataire) :
    - une app comme davdroid permet de synchroniser tes contacts avec un serveur davcard
    - nextcloud/owncloud peut synchroniser facilement tes photos automatiquement
    - pour les sms je ne sais pas comment faire ça automatiquement (mais exporter manuellement via Silence dans un dossier synchronisé avec nextcloud est assez indolore, il faut juste penser à le faire)

    • [^] # Re: LineageOS

      Posté par . Évalué à 1.

      Mince, c'est le Redmi 4X. Bon, ça a l'air quand même super simple à installer sur un téléphone adéquat. Ça vend du rêve. Merci vraiment pour la piste, c'est exactement le genre de truc que je cherchais, mais j'étais incapable de trouver ce que c'était et je m'y suis peut-être pris comme un manche, mais j'ai trouvé les sites Androidphiles très "androidcentrés"…10 ans sous Linux, ça commence vraiment à se sentir pour moi. Tout ce que je recherchais, je ne trouvais pas. L'impression constante de tomber à côté.

      Ce sera du stockage maison, sur trois disques durs chiffrés. J'en suis à ce stade, pour la sauvegarde…Je trouve ça plus sûr et pratique. J'ai un petit serveur cependant, pour du partage rapide de données peu importantes, mais bon, je verrai plus tard.

  • # f-droid

    Posté par . Évalué à 4.

    À la première lecture, j'ai raté cette phrase :

    Aussi, de nombreuses personnes m'assurent qu'il n'y a pas plus sûr que le Play Store de Google.

    Quels sont ces experts qui t'affirment ça ? :D
    Il n'y a pas grand chose de sûr dans le Play Store : ils acceptent de très nombreuses applications, et n'en suppriment que si elles posent des problèmes de contenu ou de sécurité évidents.

    De l'autre côté, F-droid n'accepte que des applications libres, donc tu as accès au code source (voilà l'argument technique). Il vont même un peu plus loin, en mettant des avertissement (en rouge, qui font peur) sur les applications qui ont des comportements que certains considèrent comme indésirables (publicité, rapports d'activité, graphismes non-libres), qui te permettent d'installer ou pas en te faisant un avis un peu éclairé.

    Alors évidemment, tu as beaucoup moins d'applications sur F-droid (n'imagines pas installer Casse-Bonbon® par là), mais d'après la description de tes besoins, tu y trouveras tout ce dont tu as besoin ;-)
    Autre indicateur de sûreté : la plupart des applications ne te demandent aucunes permissions (accès à tes contacts, etc.), ou seules celles nécessaires, contrairement à la plupart des applications sur Google Play.

    Dernier argument (très) technique, F-droid travaille à avoir des compilations reproductibles de toutes ses applications, ce qui veut dire que l'on peut vérifier que les applications qu'ils distribuent sont bien obtenues en compilant le code source publiquement accessible, et donc qu'ils n'ont pas ajoutés des bouts de code malveillants au passage, sans que ça se voit.
    https://f-droid.org/en/docs/Reproducible_Builds/

    • [^] # Re: f-droid

      Posté par . Évalué à 2.

      Je ne balancerai pas. xD
      Plus sincèrement, sur des tas de sites-forums Android, avec des recommandations de sécurité, indiquant d'utiliser absolument le Play Store…

      Je ne vois pas trop l'intérêt pour ce que je vais en faire. J'aime bien les outils qui ne font pas grand-chose, mais qui le font bien.

      Certains arguent aussi qu'il vaut mieux donner toutes ses données à Google que quelques données à quelques uns…Je n'en suis pas si sûr.

      En tout cas, je te le dis franchement, ton avis fait vraiment du bien…J'avais un peu l'impression d'être déconnecté (alors oui, je suis débutant sous Android), mais j'avais le sentiment de tout faire de travers, de tout comprendre de travers. Un avis un peu plus technique me parle bien plus ! 

      • [^] # Re: f-droid

        Posté par . Évalué à 3.

        Certains arguent aussi qu'il vaut mieux donner toutes ses données à Google que quelques données à quelques uns… Je n'en suis pas si sûr.

        Ben si, ça te fait gagner du temps: comme ça tu n'as pas à choisir ce que les quelques-uns vont avoir: ils vont tout avoir par le truchement de google :p

      • [^] # Re: f-droid

        Posté par . Évalué à 2.

        De rien ;-)

        J'ajoute le lien vers la dépêche LinuxFR qui va bien :
        https://linuxfr.org/news/f-droid-1-0-est-sorti

        • [^] # Re: f-droid

          Posté par (page perso) . Évalué à 3.

          J'abonde dans le sens de F-Droid. J'utilise le Google Play store pour sa diversité mais je privilégie dès que je le peux les logiciels de F-Droid pour les raisons indiquées plus haut (logiciels libres, problèmes éthiques en rouge).

          Pour en revenir au besoin:

          Je compte faire des sauvegardes régulières des photographies et vidéos, je ne sais pas si les conversations peuvent être sauvegardées, je sauvegarderai aussi les contacts.

          Pour la synchro de contacts j'ai un compte sur framadrive.org qui me fournit une instance nextcloud et 2 Go de stockage sur le Cloud. Ils n'ouvrent plus de comptes, mais tu peux sans doute trouver un autre fournisseur. Ensuite j'utilise davdroid disponible sur F-Droid pour la syncho de contacts et de tâches. L'appli Nextcloud, aussi dspo sur F-Droid pourrait te faire la synchro de photos et vidéos. En revanche, même si elle est sur F-Droid, il semble qu'elle contienne tout de même des trackers, cf https://reports.exodus-privacy.eu.org/reports/405/

  • # Bootloader

    Posté par . Évalué à 4.

    Pour mettre une ROM alternative, il te faut vérifier si tu dois unlocker le bootloader.

    Le bootloader est le tout premier programme qui est exécuté (souvent en ROM, en vraie ROM : tu ne peux pas le modifier). Il est fort possible (mais pas non plus systématique, faut vérifier) que ce bootloader n'accepte d'exécuter que des OS signés par le constructeur (ce qui ne sera évidemment pas le cas de ta ROM alternative).

    Dans ce cas, deux cas possibles :
    - Il y a une procédure officielle du constructeur pour te dévérouiller le bootloader (c'est assez à la mode) : c'est donc facile, mais en échange tu perds la garantie (la procédure te demandera un identifiant unique de ton téléphone, et donc le constructeur saura que tu l'as fait)
    - Il n'y a pas de procédure officielle, auquel cas il existe parfois une bidouille, l'exploitation d'une faille pour le faire.

    Voilà, c'était juste pour dire que accepter de perdre sa garantie dès le premier jour d'achat c'est pas un choix à la légère, autant être prêt psychologiquement avant l'achat.

    • [^] # Re: Bootloader

      Posté par . Évalué à 1.

      Mais installer la ROM LineageOS ne fait pas sauter la garantie ? C'est seulement si le bootloader est bloqué, c'est bien cela ? 

      • [^] # Re: Bootloader

        Posté par . Évalué à 2.

        C'est ça.

        Mais pour être précis disons que si le bootloader n'est pas loqué et que tu installes LineageOS, si un jour tu as besoin de faire jouer la garantie, tu auras intérêt à remettre l'OS "normal" (ce qui est toujours possible).

        • [^] # Re: Bootloader

          Posté par . Évalué à 1.

          Oui, ça, je m'en doutais un peu, mais c'est cool de le préciser ! :)

  • # Commande un Librem si tu n'es pas pressé

    Posté par (page perso) . Évalué à 0.

    • [^] # Re: Commande un Librem si tu n'es pas pressé

      Posté par . Évalué à 3.

      C'est un peu cher pour un produit inconnu et jamais testé.^

      Mais comme je le disais ailleurs, le Librem m'intéresse, c'est simplement que je le prendrai en plus de ce smartphone l'an prochain, s'il se révèle vraiment bien (même si je préfère l'occasion, histoire de recycler…).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.